強制執行雲端治理原則

雲端治理強制執行是指您使用的控制項和程序，將雲端使用方式與雲端治理原則保持一致。您的雲端治理團隊必須委派強制執行責任，這可讓每個小組或個人在其責任範圍內組織可以強制執行雲端治理原則。

若要有效強制執行雲端治理原則：

定義強制執行原則的方法。 委派治理責任、針對原則採用繼承模型、將標籤和命名慣例套用至繼承模型中的資源，以及實作監視優先方法，以確保順暢地轉換至強制執行。

自動化雲端治理。 使用雲端治理工具來自動化一組原則的合規性，然後新增更多原則。納入基礎結構即程式代碼 (IaC) 工具或自定義文稿或應用程式。將治理區域自動化，例如：

檢閱和更新強制執行機制。 讓雲端治理原則強制執行符合您目前的需求，包括開發人員、架構師、工作負載、平台和業務需求。追蹤法規和標準的變更，以確保合規性。

符合執行雲端治理原則

雲端提供防護措施，協助減少因週期性程式所造成的人為額外負荷。您可以使用這些防護措施來協助配合您納入的原則。

下表概述觸發程序與動作，可因應 Tailwind Traders CIO 所擔心的風險。動作會將其組織與其新原則保持一致。

風險	範例觸發程序	範例動作
在雲端中超支	每月雲端費用比預期高出 20%。	通知計費單位負責人，這樣才能檢閱資源使用量。
在雲端中超支	部署的資產不使用已配置的 CPU 或記憶體。	通知計費單位負責人並自動調整大小，以符合實際使用率 (如果可行)。
不符合組織安全性或合規性需求	定義的安全性或合規性要求是否存在任何偏差。	通知 IT 安全性小組，將補救作業自動化 (如果可行)。
資產設定造成營運管理問題或疏忽	工作負載的 CPU 使用量高於 90%。	通知 IT 營運小組，並擴增更多資源來處理負載。
資產設定造成營運管理問題或疏忽	無法滿足修補作業、商務持續性或災害復原需求的資產，會觸發營運合規性警告。	通知 IT 安全性小組，並自動解決偏差 (如果可行)。
危害系統或資料的未經授權存取	流量模式與已核准的網路拓撲不相符。	通知 IT 安全性小組，並自動關閉攻擊媒介 (如果可行)。
危害系統或資料的未經授權存取	資產在沒有適當角色指派或較高權限的情況下進行設定。	通知 IT 安全性小組，並自動解決偏差 (如果可行)。
不成熟的程式或缺乏小組技能，其中產生不一致的治理	未包含在必要治理流程中的已識別資產。	通知 IT 治理小組，並自動解決偏差 (如果可行)。

您可以使用 Azure 治理工具來自動化每個觸發程序的通知。其他雲端提供者可能需要更多手動的方法，但已定義原則仍適用。請勿定義鎖定您使用特定廠商的原則，如此您就不需要在未來重複此程序。

建立您的雲端原則陳述且草擬設計指南後，您必須建立策略，以確保您的雲端部署符合原則需求。此策略必須包含雲端治理小組的持續檢閱和溝通流程，並為需要對原則違規採取動作的時機建立準則。此策略也必須定義自動化監視和合規性系統的需求，以偵測違規並觸發補救動作。

若要滿足長期治理需求，請套用階層式治理模型，其中特定工作負載會從平台繼承治理原則。此模型有助於確保組織標準適用於正確的環境，例如購買雲端服務的需求。

定義標記和命名策略，為整個雲端環境的資源分類、成本管理、安全性和合規性提供結構化架構。標籤資源以設定您的環境，讓您可以利用自動化工具。請考慮下列適用於工作負載的建議標籤：

如需詳細資訊和範例，請參閱定義您的標籤策略。

您可以將 Azure 原則套用至管理群組中的所有訂用帳戶。若要了解治理基礎中的原則角色，請將遵守指派原則教學課程至其中一個管理群組。

教學課程的步驟 4 中，您會選取管理群組，以確保原則會套用至管理群組中的所有訂用帳戶。

在教學課程的步驟 6 和 7 上，選取與標籤相關的其中一個內建原則。具體而言，需要在所有資源加上標記的原則將有助於建立治理基礎。

重要

在步驟 9 上，將原則強制執行設定為停用。當您停用此設定時，您可以在不進行任何變更的情況下稽核您的環境，而且不會封鎖未來的部署。

若要強制執行其新原則「避免超支」，Tailwind Traders 可以：